科技资讯媒体ITFEED

首页 电商 互联网 硬件 创投 生活

乌云网今日披露了携程网安全漏洞信息

网友
不管携程的用户是否有麻烦,携程旅行网可能有些麻烦了。

漏洞报告平台乌云网今日披露了携程网安全漏洞信息,漏洞发现者称由于携程开启了用户支付服务借口的调试功能,支付过程中的调试信息可被任意黑客读取。安全日志包含的信息包括:持卡人姓名、持卡人身份证、所持银行卡类别(比如,招商银行信用卡、中国银行信用卡)、所持银行卡卡号、所持银行卡CVV码以及所持银行卡6位Bin(用于支付的6位数字)。同时被曝光的另一漏洞显示,携程某分站源代码包可直接下载(涉及数据库配置和支付接口信息),目前该漏洞也已被乌云平台确认。

晚间21时45分,携程做出官方回应。回应称,在该消息发布后,携程旅行网立即展开技术排查并在消息发布两个小时内修复问题。携程表示,可能受影响用户为3月21日与3月22日的部分交易客户,目前并没有用户收到该漏洞的影响而造成相应财产损失的情况发现。携程将对于提供漏洞信息者给与重奖,对于此次漏洞事件如果有新的进展将持续通报。 

虽然携程用户目前还未出现账户金钱损失,但此次曝出的安全漏洞信息对携程的企业安全信用、企业合作的损伤可能更大。携程刚与与万事达卡国际组织近日签署合作备忘录,拓展在品牌、支付领域的合作关系,通过联名卡、旅游优惠、电子钱包等计划,推动电子支付在旅游消费领域的创新应用。此次技术漏洞的发生,可能也会对双方的合作蒙上阴影。
2014-3-22 23:03:46
网友

携程信用卡漏洞调查:违反银联规定 黑客盗刷成本高

漏洞报告平台乌云网昨日披露了携程网安全漏洞信息,漏洞发现者称由于携程开启了用户支付服务借口的调试功能,支付过程中的调试信息可被任意骇客读取。

携程网回应称,这次安全漏洞泄露主要原因是携程的技术开发人员之前是为了排查系统疑问,留下了临时日志,因疏忽未及时删除,目前,这些信息已被全部删除。经各方证实,尚未发生大规模用户财务损失。

目前,除了漏洞发现人做了少量的测试下载并已全部删除外,并没有出现恶意下载的情况。携程与各大银行已经取得联系,经核实,目前没有出现用户信用卡被盗刷的情况。携程也做出承诺,倘若引起用户损失,携程将全额赔付。

不过,在微博、朋友圈等社交网络平台上,已经有用户表示,其正在向银行申请更换信用卡。

一位匿名的安全专家告诉腾讯科技,根据乌云提供的信息来看,携程可能违反了银联此前禁止记录CVC码的规定,目前用户只能通过信用卡账单查询,才能了解自己的银行卡是否被盗用。

但是,有知名网友“花总丢了金箍棒”在微博上指出,如果信用卡持有者在一周内没有使用过携程的话并不会受到较大影响,而且这次漏洞影响范围不大。

与此前7天等快捷酒店爆出信息泄露不同的是,因为关心钱袋子,所以这才引起了一些用户的紧张。具体来说,此次事件涉及到了用户信用卡的CVC码,即银行信用卡背后的三位验证码,这三位数字会被视为密码或签名。在一些消费场景下,如利用相关信息注册第三方支付帐号后,拥有这个验证码就可以等同用户使用信用卡后签字的过程,交易会被银行认可。

但是,银行会对用户的消费行为进行风险控制。一位银联互联网业务技术负责人告诉腾讯科技,风险控制的方式主要包括安全控件码(网上提示的动态验证码)、动态密码、验证与预留手机号码是否一致,以及其他具体场景的判断,如连续刷卡出现异常交易、设定的交易限额等。

因此,假如此次有骇客盗取了用户信息,他也只能通过手机充值、购买游戏点卡等方式小规模地进行消费,但如果他连续通过信用卡进行这样的消费,会被银行记录和识别。但是这样盗取用户财产的成本会非常的高,所以并不实际。

当然,盗取后也可以注册一些海外电商网站进行消费。不过,这要求信用卡是双币信用卡,才能完成支付,也有很多的门槛。

为什么会是携程爆发?

上述银联技术负责人表示,目前支付主要有两类,包括订购类业务和普通互联网个人业务,其中订购类业务支付风险较低。

在进行互联网消费的时候,实际上不同的业务会对消费行为进行不同限制。一般互联网支付业务是需要用户多种验证的,比如会发送验证码短信,用户需要手工输入到页面上完成支付,又或者通过网页生成的动态密码完成。

但是对于携程这类订购类业务的要求比较宽松,因为其能够追踪最终受益者。比如说,用户购买了飞机票、火车票或者订酒店,在最终使用的时候仍然需要身份证件作为辅助验证手段,所以其在支付环节只需要信用卡的CVC码等信息就可以完成交易。

产生漏洞的原因

那么携程的安全漏洞是怎么造成的?有知情人士透露,携程此次用户信息泄露事件,可能是无线研发推进过快而变相导致的。

具体来说,这次携程的安全漏洞,并不是在Web网页上的漏洞导致,而是无线部门在手机APP产品调试过程中,保存了日志并在Web.config 开了目录遍历才出的状况。

某企业负责IT安全的人士也向腾讯科技表示,利用目录遍历攻击漏洞,攻击者能够超过服务器的根目录,从而访问到文件系统的其他部分,访问受限制文件或资源,或者采取更危险行为。

MediaV CTO胡宁也分析称,这可能是携程并未故意存储CVC信息。但其数据传输为明文,且线上竟长时间打开调试功能,导致系统日志中亦为明文,又未及时清理,所存储的服务器还有安全漏洞。所以一步错,步步错。

某互联网上市公司CTO告诉腾讯科技,不管是App还是Wap或Web,都只是产品的前端表现形式,所调用的数据源必然只有一个。新产品的上线流程一般是“开发机——内网测试机——发布员发布到外网”,每个环节都有QA测试,但在紧急或意外情况下,程序员会临时去外网修改产品,这么做非常危险,因为跳过了控制流程、跳过了发布员(跟产品开发不是一拨人)。

携程是上市公司,应该有非常严格的控制,该CTO猜测是不小心把没有过滤好的内网代码目录发布到外网了。如果是这种发布错误,问题并不严重,也就是版本控制不力——但如果是有员工跳过流程直接修改,就是特大问题,因为这意味着产品失去了对各环节和安全的控制点。

预防和处理方式

截至目前,携程回应称,消息发布后,携程立即展开技术排查,并在两小时内修复这个漏洞。用户在携程的交易仍旧是安全的,用户信息没有受到影响。

腾讯科技致电各大银行信号信用卡中心,都表示还没有收到携程官方公告通知具体情况和应对措施,招商银行和民生银行信用卡中心工作人员告诉腾讯科技,暂时不了解携程信用卡信息泄露相关的具体信息,但是客户如果担心私密信息被泄露,会冻结旧卡寄送新的卡片。

对用户来说,这样的漏洞几乎没有办法防护,但是安全专家建议用户,可以随时注意检查信用卡帐单和消费短信,如果发现异常,及时联系银行,以减轻损失。如果已确定发现信用卡交易异常,怀疑信用卡信息泄露,可选择关闭信用卡网上支付功能(对用户影响很大),或者联系银行注销旧卡片,更换新卡。

2014-3-23 21:39:50 2楼
网友

携程支付漏洞新回应:已通知有风险用户换卡

北京时间3月23日下午消息,针对昨天乌云网曝出的携程网安全支付日志漏洞问题,该公司回应称共有93名用户的支付信息存在潜在风险,已通知这些用户更换信用卡。

携程回应称,漏洞是由于该公司技术开发人员排查系统疑问时未及时删除临时日志而产生的,目前,这些信息已被全部删除。携程还表示,漏洞信息没有遭到恶意下载,仅漏洞发现人做了测试下载,共涉及93名存在潜在风险的携程用户。

携程客服于今日(3月23日)通知相关用户更换信用卡,银行方面也会尽快协助用户办理换卡手续。截至3月23日22:00,没有接到携程客服换卡通知的用户,个人信息均是安全的。携程客服呼出电话为:021-51069999;021-51012299。

另外,经各银行反馈,截至目前,没有发生携程用户信用卡被盗刷的情况。

2014-3-23 21:44:11 3楼

发表回复(2)